Erst vor Kurzem ist bekannt geworden, dass der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit einen Bußgeldbescheid in Höhe von rund 35,3 Millionen Euro gegen den schwedischen Mode-Riesen H&M erlassen hat. Das ist das bisher höchste Datenschutz-Bußgeld in Deutschland. Der Fall zeigt, dass die Datenschutzbehörden auch während der Corona-Krise weiter aktiv sind und Unternehmen keine Schonzeit gewähren.
Die Datenschutz-Grundverordnung (DSGVO) gilt seit dem 25. Mai 2018. Seitdem haben die Datenschutzbehörden Bußgeldbescheide in Höhe von insgesamt rund einer halben Milliarde Euro verhängt. Das ist eines der zentralen Ergebnisse des GDPR Enforcement Tracker Reports der internationalen Wirtschaftskanzlei CMS. Die Studie basiert auf den Daten des GDPR Enforcement Tracker, mit dem die Kanzlei die öffentlich bekannten Geldbußen der Datenschutzbehörden in der EU und im Vereinigten Königreich erfasst. Er liefert wertvolle Einblicke in die Bußgeldaktivitäten der Behörden.
Die Analysen von CMS zeigen, dass die EU-Datenschutzbehörden nach einer zurückhaltenden Anfangsphase ihre Aktivitäten signifikant verstärkt haben. Die vertiefte Auswertung der Daten lässt erste Rückschlüsse darauf zu, für welche Art Verstöße und in welchen Wirtschaftsbereichen besonders hohe Bußgelder verhängt wurden. So führten Datenverarbeitungen auf unzureichender Rechtsgrundlage sowie unzureichende technische und organisatorische Maßnahmen zu erheblichen Bußgeldern. Besonders betroffen waren die Branchen Medien, Telekommunikation, Rundfunk, Transport und Energie.
Die Autoren der Studie rechnen in Zukunft mit einer erhöhten Anzahl von Verfahren, bei denen zunehmend auch hohe Bußgelder verhängt werden. „Die DSGVO ist jetzt rund zwei Jahre in Kraft. Nach einer Anfangsphase, in der sich die Behörden noch organisieren mussten, werden Fälle wie bei H&M in Zukunft weitaus häufiger vorkommen“, meint CMS-Rechtsanwalt und Partner Christian Runte. Hinzu kommt, dass Unternehmen künftig zunehmend auch mit Schadensersatzansprüchen von Betroffenen konfrontiert werden dürften. CMS-Anwalt Runte empfiehlt: „Unternehmen sollten ihre Datenschutzpraxis auf den Prüfstand stellen und gegebenenfalls nachjustieren. DSGVO-Verstöße können sonst schnell zu finanziell schmerzhaften Geldbußen und Schadensersatzforderungen führen.“
